一种防止恶意终端非法占用核心网资源的方法和设备与流程
本发明涉及通信领域中的网络与信息安全技术,尤其涉及一种防止恶意终端非法占用核心网资源的方法和设备。
背景技术:
按照3GPP标准的规范,终端(UE)和网络之间有连接(CONNECT)和空闲(IDLE)两种状态。当UE和网络建立连接后,如果有数据传输,那么UE会处于CONNECT状态;如果没有数据传输,那么UE会转入IDLE态。当UE再次需要数据传输时,UE会和网络之间重新建立连接,UE进入CONNECT状态。UE和网络之间的信令随着CONNECT和IDLE态的转换而增加,大量的UE和网络之间不停的进行信令交互,使得网络收到的UE信令请求超过了网络各项信令资源的处理能力,引发网络拥塞甚至雪崩效应,导致网络不可用,即产生信令风暴。
特别是随着移动互联网和智能终端的发展,攻击者可以使用大量的恶意智能终端向网络发起信令风暴攻击。比如:攻击者可以控制这些恶意终端不断的向网络发起连接请求,连接成功后立即进入IDLE状态;再立即发起连接请求后进入IDLE状态,再连接......一直重复,无线接入设备和核心网设备的信令处理量都将剧增。导致核心网设备无法处理正常UE的请求、甚至瘫痪,无法正常工作。
技术实现要素:
为解决现有存在的技术问题,本发明实施例提供一种防止恶意终端非法占用核心网资源的方法和设备。
本发明实施例提供了一种防止恶意终端非法占用核心网资源的方法,该方法包括:
从核心接入设备获取终端的信令信息;
依据所述信令信息确定所述终端为恶意终端;
生成第一指令;
将所述第一指令转换成对应的第一信令转发规则,并发送给所述核心接入设备;所述第一信令转发规则,用于阻止所述核心接入设备转发所述恶意终端发送的信令。
一个实施例中,所述生成第一指令后,该方法还包括:
生成第一通知,并将所述第一通知发送给核心网网管;所述第一通知用于通知所述核心网网管推迟或禁止对核心网设备的扩容操作。
其中,所述从核心接入设备获取终端的信令信息,包括:
接收所述核心接入设备周期性主动上报的终端的信令信息;或者,
向所述核心接入设备发送查询请求,并接收所述核心接入设备依据所述查询请求上报的终端的信令信息。
其中,所述依据所述信令信息确定所述终端为恶意终端,包括:
依据所述终端在设定周期内发送的数据包的数量、发送相邻数据包的时间间隔、每个数据包的大小以及每个数据包的目的地址,来确定所述终端为恶意终端。
其中,所述确定所述终端为恶意终端,包括:
如果所述数据包的数量大于预设门限、发送相邻数据包的时间间隔小于预设门限且相等、每个数据包的报文长度相等且小于预设门限,以及每个数据包的目的地址相同,则确定所述终端为恶意终端。
其中,所述将所述第一指令转换成对应的第一信令转发规则,包括:
确定与所述核心接入设备所共同支持的通信协议;
将所述第一指令转换成与所述通信协议对应的流表项。
一个实施例中,所述获取终端的信令信息之前,该方法还包括:
接收核心网网管发送的第一请求消息;
所述第一请求消息,为所述核心网网管确定核心网设备待处理的信令数量大于预设处理门限时发送的。
一个实施例中,所述确定所述终端为恶意终端之后,该方法还包括:
将与所述恶意终端对应的身份标识存储在预设的恶意终端标识列表中。
一个实施例中,所述将第一信令转发规则发送给所述核心接入设备之后,该方法还包括:
从核心接入设备获取终端的信令信息;
依据所述信令信息确定所述恶意终端已停止发送恶意信令;
生成第二指令;
将所述第二指令转换成对应的第二信令转发规则,并发送给所述核心接入设备;所述第二信令转发规则,用于通知所述核心接入设备转发所述已停止发送恶意信令的终端发送的信令。
一个实施例中,所述从核心接入设备获取终端的信令信息之前,该方法还包括:
接收核心网网管发送的第二请求消息;
所述第二请求消息,为所述核心网网管确定核心网设备处于正常工作状态时发出的;所述正常工作状态,为所述核心网设备待处理的信令数量未超过预设处理门限。
本发明实施例还提供了一种防止恶意终端非法占用核心网资源的设备,该设备包括:获取模块、判断处理模块和规则生成转发模块;其中,
所述获取模块,用于从核心接入设备获取终端的信令信息;
所述判断处理模块,用于依据所述信令信息确定所述终端为恶意终端;
所述规则生成转发模块,用于生成第一指令;将所述第一指令转换成对应的第一信令转发规则,并发送给所述核心接入设备;其中,
所述第一信令转发规则,用于阻止所述核心接入设备转发所述恶意终端发送的信令。
一个实施例中,所述规则生成转发模块生成第一指令后,
还用于生成第一通知,并将所述第一通知发送给核心网网管;所述第一通知用于通知所述核心网网管推迟或禁止对核心网设备的扩容操作。
一个实施例中,所述获取模块获取终端的信令信息之前,
还用于接收核心网网管发送的第一请求消息;所述第一请求消息,为所述核心网网管确定核心网设备待处理的信令数量大于预设处理门限时发送的。
一个实施例中,所述判断处理模块确定所述终端为恶意终端之后,
还用于将与所述恶意终端对应的身份标识存储在预设的恶意终端标识列表中。
一个实施例中,所述规则生成转发模块将所述第一信令转发规则发送给所述核心接入设备之后,
所述获取模块,还用于从核心接入设备获取终端的信令信息;
所述判断处理模块,还用于依据所述信令信息确定所述恶意终端已停止发送恶意信令;
所述规则生成转发模块,还用于生成第二指令;将所述第二指令转换成对应的第二信令转发规则,并发送给所述核心接入设备;
所述第二信令转发规则,用于通知所述核心接入设备转发所述已停止发送恶意信令的终端发送的信令。
一个实施例中,所述获取模块从核心接入设备获取终端的信令信息之前,
还用于接收核心网网管发送的第二请求消息;
所述第二请求消息,为所述核心网网管确定核心网设备处于正常工作状态时发出的;所述正常工作状态,为所述核心网设备待处理的信令数量未超过预设处理门限。
本发明实施例提供的防止恶意终端非法占用核心网资源的方法和设备,从核心接入设备获取终端的信令信息;依据所述信令信息确定所述终端为恶意终端;生成第一指令;将所述第一指令转换成对应的第一信令转发规则,并发送给所述核心接入设备;所述第一信令转发规则,用于阻止所述核心接入设备转 发所述恶意终端发送的信令。可见,本发明实施例可有效地防止恶意终端通过云化或非云化的无线接入网对核心网资源进行非法占用,保证核心网的资源能够有效提供给普通的终端用户。
另外,本发明实施例在确定恶意终端不再进行恶意信令发送行为时,恢复恶意终端的信令的转发,保证了被恶意非法占用的终端在恢复正常后,可以正常使用核心网的资源。
附图说明
在附图(其不一定是按比例绘制的)中,相似的附图标记可在不同的视图中描述相似的部件。具有不同字母后缀的相似附图标记可表示相似部件的不同示例。附图以示例而非限制的方式大体示出了本文中所讨论的各个实施例。
图1为本发明实施例所述防止恶意终端非法占用核心网资源的方法实现流程图一;
图2为本发明实施例所述防止恶意终端非法占用核心网资源的方法实现流程图二;
图3为本发明实施例所述防止恶意终端非法占用核心网资源的方法实现流程图三;
图4为本发明实施例所述防止恶意终端非法占用核心网资源的方法实现流程图四;
图5为本发明实施例所述防止恶意终端非法占用核心网资源的方法实现流程图五;
图6为本发明实施例所述防止恶意终端非法占用核心网资源的设备结构示意图;
图7为现有恶意UE反复接入核心网的流程示意图;
图8为本发明场景一中所述主动检测流程示意图;
图9为本发明场景二中所述被动检测流程示意图一;
图10为本发明场景三中所述被动检测流程示意图二;
图11为本发明场景四中所述信令检测APP触发的UE限制解除流程示意图;
图12为本发明场景五中所述网络控制器触发的UE限制解除流程示意图;
图13为本发明场景六中所述核心网管触发的UE限制解除流程示意图一;
图14为本发明场景七中所述核心网管触发的UE限制解除流程示意图二。
具体实施方式
本发明的实施例中,从核心接入设备获取终端的信令信息;依据所述信令信息确定所述终端为恶意终端;生成第一指令;将所述第一指令转换成对应的第一信令转发规则,并发送给所述核心接入设备;所述第一信令转发规则,用于阻止所述核心接入设备转发所述恶意终端发送的信令。
需要说明的是,本发明实施例所述的方案可以适用于云化后或非云化的核心网设备。
下面结合附图及具体实施例对本发明作进一步详细说明。
图1为本发明实施例所述防止恶意终端非法占用核心网资源的方法实现流程图,如图1所示,该方法包括:
步骤102:从核心接入设备获取终端的信令信息;
步骤104:依据所述信令信息确定所述终端为恶意终端;
步骤106:生成第一指令;
步骤108:将所述第一指令转换成对应的第一信令转发规则,并发送给所述核心接入设备;所述第一信令转发规则,用于阻止所述核心接入设备转发所述恶意终端发送的信令。
这里,所述终端的信令信息可以包括:UE的IP地址、UE的标识、报文长度、发送时间等。
一个实施例中,如图2所示,所述生成第一指令后,该方法还包括:
步骤107:生成第一通知,并将所述第一通知发送给核心网网管;所述第一通知用于通知所述核心网网管推迟或禁止对核心网设备的扩容操作。
本发明实施例中,所述从核心接入设备获取终端的信令信息,包括:
接收所述核心接入设备周期性主动上报的终端的信令信息;或者,
向所述核心接入设备发送查询请求,并接收所述核心接入设备依据所述查询请求上报的终端的信令信息。
这里,需要说明的是,所述核心接入设备对收到的所有终端的信令都会有进行统计和上报,并不针对某个具体的终端进行信令统计。
本发明实施例中,所述依据所述信令信息确定所述终端为恶意终端,包括:
依据所述终端在设定周期内发送的数据包的数量、发送相邻数据包的时间间隔、每个数据包的大小以及每个数据包的目的地址,来确定所述终端为恶意终端。
本发明实施例中,所述确定所述终端为恶意终端,包括:
如果所述数据包的数量大于预设门限、发送相邻数据包的时间间隔小于预设门限且相等、每个数据包的报文长度相等且小于预设门限,以及每个数据包的目的地址相同,则确定所述终端为恶意终端。
本发明实施例中,所述将所述第一指令转换成对应的第一信令转发规则,包括:
确定与所述核心接入设备所共同支持的通信协议;
将所述第一指令转换成与所述通信协议对应的流表项。
例如:如果当前与所述核心接入设备之间共同支持openflow协议,则将所述第一指令转换成flow rule中的一条流表项,并下发到核心接入设备,指示核心接入设备丢弃从恶意终端的IP地址到核心网设备(如MME)目的IP地址的数据包(信令)。
一个实施例中,如图3所示,所述获取终端的信令信息之前,该方法还包括:
步骤101:接收核心网网管发送的第一请求消息;
所述第一请求消息,为所述核心网网管确定核心网设备待处理的信令数量大于预设处理门限时发送的。
一个实施例中,如图4所示,所述确定所述终端为恶意终端之后,该方法还包括:
步骤105:将与所述恶意终端对应的身份标识存储在预设的恶意终端标识列表中。
可见,本发明实施例可有效地防止恶意终端通过云化或非云化的无线接入网对核心网资源进行非法占用,保证核心网的资源能够有效提供给普通的终端用户。
一个实施例中,如图5所示,所述将第一信令转发规则发送给所述核心接入设备之后,该方法还包括:
步骤110:从核心接入设备获取终端的信令信息;
步骤111:依据所述信令信息确定所述恶意终端已停止发送恶意信令;
步骤112:生成第二指令;
步骤113:将所述第二指令转换成对应的第二信令转发规则,并发送给所述核心接入设备;所述第二信令转发规则,用于通知所述核心接入设备转发所述已停止发送恶意信令的终端发送的信令。
这里,所述确定所述恶意终端已停止发送恶意信令过程可参照上述恶意终端的确定过程,例如:
如果所述数据包的数量小于预设门限、发送相邻数据包的时间间隔大于预设门限且相互不完全相等、每个数据包的报文长度不完全相等且大于预设门限,以及每个数据包的目的地址不完全相同,则确定所述终端已停止发送恶意信令。
其中,所述从核心接入设备获取终端的信令信息之前,该方法还包括:
步骤109:接收核心网网管发送的第二请求消息;
所述第二请求消息,为所述核心网网管确定核心网设备处于正常工作状态时发出的;所述正常工作状态,为所述核心网设备待处理的信令数量未超过预设处理门限。
可见,本发明实施例在确定恶意终端不再进行恶意信令发送行为时,恢复恶意终端的信令的转发,保证了被恶意非法占用的终端在恢复正常后,可以正 常使用核心网的资源。
本发明实施例还提供了一种防止恶意终端非法占用核心网资源的设备,如图6所示,该设备包括:获取模块601、判断处理模块602和规则生成转发模块603;其中,
所述获取模块601,用于从核心接入设备获取终端的信令信息;
所述判断处理模块602,用于依据所述信令信息确定所述终端为恶意终端;
所述规则生成转发模块603,用于生成第一指令;将所述第一指令转换成对应的第一信令转发规则,并发送给所述核心接入设备;其中,
所述第一信令转发规则,用于阻止所述核心接入设备转发所述恶意终端发送的信令。
这里,所述终端的信令信息可以包括:UE的IP地址、UE的标识、报文长度、发送时间等。
一个实施例中,所述规则生成转发模块603生成第一指令后,
还用于生成第一通知,并将所述第一通知发送给核心网网管;所述第一通知用于通知所述核心网网管推迟或禁止对核心网设备的扩容操作。
本发明实施例中,所述获取模块601从核心接入设备获取终端的信令信息,包括:
接收所述核心接入设备周期性主动上报的终端的信令信息;或者,
向所述核心接入设备发送查询请求,并接收所述核心接入设备依据所述查询请求上报的终端的信令信息。
这里,需要说明的是,所述核心接入设备对收到的所有终端的信令都会有进行统计和上报,并不针对某个具体的终端进行信令统计。
本发明实施例中,所述判断处理模块602依据所述信令信息确定所述终端为恶意终端,包括:
依据所述终端在设定周期内发送的数据包的数量、发送相邻数据包的时间间隔、每个数据包的大小以及每个数据包的目的地址,来确定所述终端为恶意终端。
本发明实施例中,所述判断处理模块602确定所述终端为恶意终端,包括:
如果所述数据包的数量大于预设门限、发送相邻数据包的时间间隔小于预设门限且相等、每个数据包的报文长度相等且小于预设门限,以及每个数据包的目的地址相同,则确定所述终端为恶意终端。
本发明实施例中,所述规则生成转发模块603将所述第一指令转换成对应的第一信令转发规则,包括:
确定与所述核心接入设备所共同支持的通信协议;
将所述第一指令转换成与所述通信协议对应的流表项。
例如:如果当前与所述核心接入设备之间共同支持openflow协议,则将所述第一指令转换成flow rule中的一条流表项,并下发到核心接入设备,指示核心接入设备丢弃从恶意终端的IP地址到核心网设备(如MME)目的IP地址的数据包(信令)。
一个实施例中,所述获取模块601获取终端的信令信息之前,
还用于接收核心网网管发送的第一请求消息;所述第一请求消息,为所述核心网网管确定核心网设备待处理的信令数量大于预设处理门限时发送的。
一个实施例中,所述判断处理模块602确定所述终端为恶意终端之后,
还用于将与所述恶意终端对应的身份标识存储在预设的恶意终端标识列表中。
可见,本发明实施例可有效地防止恶意终端通过云化或非云化的无线接入网对核心网资源进行非法占用,保证核心网的资源能够有效提供给普通的终端用户。
一个实施例中,所述规则生成转发模块603将所述第一信令转发规则发送给所述核心接入设备之后,
所述获取模块601,还用于从核心接入设备获取终端的信令信息;
所述判断处理模块602,还用于依据所述信令信息确定所述恶意终端已停止发送恶意信令;
所述规则生成转发模块603,还用于生成第二指令;将所述第二指令转换 成对应的第二信令转发规则,并发送给所述核心接入设备;
所述第二信令转发规则,用于通知所述核心接入设备转发所述已停止发送恶意信令的终端发送的信令。
这里,所述确定所述恶意终端已停止发送恶意信令过程可参照上述恶意终端的确定过程,例如:
如果所述数据包的数量小于预设门限、发送相邻数据包的时间间隔大于预设门限且相互不完全相等、每个数据包的报文长度不完全相等且大于预设门限,以及每个数据包的目的地址不完全相同,则确定所述终端已停止发送恶意信令。
一个实施例中,所述获取模块601从核心接入设备获取终端的信令信息之前,还用于接收核心网网管发送的第二请求消息;
所述第二请求消息,为所述核心网网管确定核心网设备处于正常工作状态时发出的;所述正常工作状态,为所述核心网设备待处理的信令数量未超过预设处理门限。
可见,本发明实施例在确定恶意终端不再进行恶意信令发送行为时,恢复恶意终端的信令的转发,保证了被恶意非法占用的终端在恢复正常后,可以正常使用核心网的资源。
下面结合具体应用场景对本发明进行详细描述。
首先结合图7简单介绍下恶意终端反复接入流程,如图7所示,具体流程如下:
步骤1:恶意UE向网络发起初始连接请求;
步骤2-3:无线接入设备和核心网接入设备转发该接入请求给核心网设备;
步骤4:恶意UE和核心网设备之间完成接入过程;
步骤5:进入idle态后,恶意UE立即再次发起连接请求;
步骤6-7:无线接入设备和核心网接入设备转发该接入请求给核心网设备;
步骤8:恶意UE和核心网设备之间完成接入过程,恶意UE进入idle态;
步骤9:一直重复步骤5-8的流程。
因此,针对图7中的场景中存在的问题,本发明实施例提出如下解决方案, 在后续场景描述中增加一个网络实体或功能模块,即:信令检测APP。
场景一、主动检测方案
该方案通过网络控制器从无线接入设备池(如BBU池)和核心网设备(如MME或虚拟MME)之间传输链路上的核心接入设备(如核心交换机)获取信令的统计信息,并上交给信令检测应用。该应用检测到某恶意UE频繁发信令后,向控制器下发“丢弃该UE报文”的指令。网络控制器将该命令翻译成核心接入设备能够识别的转发规则(比如流表转发规则)并下发给核心接入设备。后续当该核心接入设备接收到来自该UE的报文后查找转发规则,就直接丢弃该报文。并且,网络控制器会向核心网网管反馈有恶意UE攻击行为。如果核心网已经云化,那么核心网网管收到后,可以推迟扩容。由此,核心网资源就避免被恶意UE占用。具体如图8所示,图8中的虚线框中是核心网对恶意UE的检测及处理流程,包括:
步骤1:具有收集UE信令统计信息能力的核心接入设备(如核心接入交换机)将收集的信令统计信息上报给网络控制器;
该信令统计信息可以包括:UE的IP地址、UE的标识、报文长度、发送时间等;该统计信息可以是核心接入设备周期性的主动上报给网络控制器,也可以是网络控制器主动向核心接入设备查询后,核心接入设备上报给网络控制器。需要说明的是,核心接入设备是对收到的所有UE信令都会有统计信息,并不针对某个具体的UE进行信令统计。
步骤2:网络控制器收到信令统计信息后,上报给信令检测APP;
所述信令检测APP可以向网络控制器预订(subscribe)信令统计信息及其上报方式,上报方式可以是网络控制器周期性的将信令统计信息主动上报给信令检测APP;也可以是信令检测APP周期性的向网络控制器查询信令统计信息,网络控制器收到查询消息后再向信令检测APP上报信令统计信息。
步骤3:信令检测APP根据上报的信令统计信息判断是否有恶意UE在进行占用核心网资源的攻击;
该分析可以是分析某一周期内同一UE发送的数据包数量、发送的每个数 据包之间的时间间隔长度、每个数据包的大小以及每个包的目的地址等来判断。比如,如果一个UE在规定周期内,发送的小数据包数量很多(比如超过某个阈值)、数据包之间的时间间隔基本相等、小数据包报文长度都基本相同,而且每个包的目的地址基本相同,可以判断为一个恶意UE。
步骤4:信令检测APP检测出恶意UE后,向网络控制器下发丢弃该UE报文的指令,并且将该恶意UE的身份标识存储到本地的恶意UE标识列表中;
步骤5:网络控制器将丢弃该UE报文的指令翻译成核心接入设备能够识别的流量转发规则下发给核心接入设备;
这里,所述网络控制器翻译指令并下发流表规则可以使用现有的协议,如:如果网络控制器和核心接入设备之间支持openflow协议,那么网络控制器将丢弃该报文的指令翻译成flow rule中的一条流表项,并下发到核心交换机,指示交换机丢弃从UE的IP地址到核心网设备(如MME目的IP地址的包)。根据网络控制器下发的转发规则,核心交换设备将丢弃接收到的来自该恶意UE报文。
步骤6:网络控制器将恶意信令行为通知给核心网网管,如果核心网已经实现云化,核心网网管可以推迟对核心网设备进行扩容。
场景二、被动检测方案(1)
本方案中,当核心网网管检测到核心网设备(如MME)处理信令量过大时,请求信令检测APP检测是否有恶意UE的信令攻击行为。信令检测APP根据从网络控制器获取的信令统计信息判断是否有恶意UE攻击行为。该应用检测到某恶意UE频繁发信令后,向网络控制器下发“丢弃该UE报文”的指令。网络控制器将该命令翻译成核心接入设备能够识别的转发规则(比如流表转发规则)并下发给核心接入设备。后续当该核心接入设备接收到来自该UE的报文后查找处理规则,就直接丢弃该报文。并且,信令检测APP会向核心网网管反馈有恶意UE攻击行为。如果核心网已经云化,那么核心网网管收到后,可以推迟扩容。由此,核心网资源就避免被恶意UE占用。具体如下图9所示,具体流程如下:
步骤1:核心网网管检测到核心网设备信令处理量增大,快超过该核心网设备(可以使物理网络设备,也可以是在虚拟机上实现的虚拟网络设备功能)的处理能力时,向信令检测APP请求信令检测;
步骤2:信令检测APP从网络控制器获取信令统计信息。这些统计信息的内容同场景一中的主动检测方案;
步骤3:信令检测APP判断是否为恶意信令行为,同场景一中的主动检测方案;
步骤4:信令检测APP向网络控制器下发指令,同场景一中的主动检测方案;
步骤5:网络控制器翻译指令并下发转发规则,同场景一中的主动检测方案;
步骤6:信令检测APP将恶意信令行为通知给核心网网管,如果核心网已经实现云化,核心网网管可以推迟对核心网设备进行扩容。
需要说明的是,步骤2中网络控制器中的信令统计信息是从核心接入设备获取的,可以是核心接入设备周期性的主动上报给网络控制器,也可以是网络控制器主动向核心接入设备查询后,核心接入设备上报给网络控制器。
场景三、被动检测方案(2)
本方案中,当核心网网管检测到核心网设备(如MME)处理信令量过大时,请求网络控制器触发信令检测APP去检测是否有恶意UE的信令攻击行为。网络控制器主动向信令检测APP上报信令统计信息;信令检测APP根据从网络控制器获取的信令统计信息判断是否有恶意UE攻击行为。该应用检测到某恶意UE频繁发信令后,向控制器下发“丢弃该UE报文”的指令。网络控制器将该命令翻译成核心接入设备能够识别的转发规则(比如流表转发规则)并下发给核心接入设备。后续当该核心接入设备接收到来自该UE的报文后查找处理规则,就直接丢弃该报文。并且,网络控制器会向核心网网管反馈有恶意UE攻击行为。如果核心网已经云化,那么核心网网管收到后,可以推迟扩容。由此,核心网资源就避免被恶意UE占用。具体如下图10所示,具体流程如下:
步骤1:核心网网管检测到核心网设备信令处理量增大,快超过该核心网设备(可以使物理网络设备,也可以是在虚拟机上实现的虚拟网络设备功能)的处理能力时,向网络控制器请求信令检测;
步骤2:网络控制器主动向信令检测APP上报信令统计信息。这些统计信息的内容同场景一中的主动检测方案;
步骤3:信令检测APP判断是否为恶意信令行为,同场景一中的主动检测方案;
步骤4:信令检测APP向网络控制器下发指令,同场景一中的主动检测方案;
步骤5:网络控制器翻译指令并下发转发规则,同场景一中的主动检测方案;
步骤6:网络控制器将恶意信令行为通知给核心网网管,如果核心网已经实现云化,核心网网管可以推迟对核心网设备进行扩容。
需要说明的是,步骤2中网络控制器中的信令统计信息是从核心接入设备获取的,可以是核心接入设备周期性的主动上报给网络控制器,也可以是网络控制器主动向核心接入设备查询后,核心接入设备上报给网络控制器。
针对上述主动和被动检测方案(场景一至场景三)需要说明的是:
1、信令检测APP可以是一个独立的网络实体,也可以是属于网络控制器的一个功能模块;
2、网络控制器是一个独立的功能实体。
3、上述三种方案中不管是否进行恶意UE信令行为检测,核心接入设备都会将所有收到的报文统计信息上报给网络控制器,即使这个报文的转发规则是丢弃。这是本提案中核心接入设备的一个特性。
当上述场景中的恶意的UE变成了一个正常的UE,即:该UE不再进行恶意行为了,可以通过以下三种场景中的方案解除对该UE的限制。
场景四、信令检测APP触发的UE限制解除
如图11所示,本方案的具体流程如下:
步骤1:网络控制器从核心接入设备(如:交换机)获取信令统计信息;
该信令统计信息内容同场景一步骤1中提到的统计信息内容。同样地,该统计信息可以是核心接入设备周期性的主动上报给网络控制器,也可以是网络控制器主动向核心接入设备查询后,核心接入设备上报给网络控制器。
步骤2:信令检测APP发起恶意UE变正常UE后的检测及处理流程,主动从网络控制器获取信令统计信息;
步骤3:信令检测APP根据获取的信令统计信息判断检测出来的恶意UE是否还在存储的恶意UE标识列表上(注:该列表在上述恶意UE检测方案中由信令检测APP存储),以判断该恶意UE是否还在进行占用核心网资源的攻击;
步骤4:如果信令检测APP发现恶意UE标识列表中的UE已经不再进行恶意信令发送行为了,那么信令检测APP向网络控制器下发正常转发该UE发送的报文的指令;
步骤5:网络控制器将该指令翻译成核心接入设备能够识别的流量转发规则下发给核心接入设备。根据网络控制器下发的转发规则,核心接入设备将正常转发接收到的来自该UE的报文。
场景五、网络控制器触发的UE限制解除
如图12所示,本方案的具体流程如下:
步骤1:网络控制器从核心接入设备(如核心接入交换机)获取信令统计信息;
该信令统计信息内容同场景一中步骤1中提到的统计信息内容。同样地,该统计信息可以是核心接入设备周期性的主动上报给网络控制器,也可以是网络控制器主动向核心接入设备查询后,核心接入设备上报给网络控制器。
步骤2:网络控制器发起恶意UE变正常UE后的检测及处理流程,主动向信令检测APP上报信令统计信息,并要求对其进行分析;
步骤3:信令检测APP根据获取的信令统计信息判断检测出来的恶意UE是否还在存储的恶意UE标识列表上(注:该列表在上述恶意UE检测方案中 由信令检测APP存储),以判断该恶意UE是否还在进行占用核心网资源的攻击;
步骤4:如果信令检测APP发现恶意UE标识列表中的UE已经不再进行恶意信令发送行为了,那么信令检测APP向网络控制器下发正常转发该UE发送的报文的指令;
步骤5:网络控制器将该指令翻译成核心接入设备能够识别的流量转发规则下发给核心接入设备。根据网络控制器下发的转发规则,核心接入设备将正常转发接收到的来自该UE的报文。
场景六、核心网管触发的UE限制解除(1)
如图13所示,本方案的具体流程如下:
步骤1:网络控制器从核心接入设备(如核心接入交换机)获取信令统计信息;
该信令统计信息内容同场景一中步骤1中提到的统计信息内容。同样地,该统计信息可以是核心接入设备周期性的主动上报给网络控制器,也可以是网络控制器主动向核心接入设备查询后,核心接入设备上报给网络控制器。
步骤2:核心网网管向信令检测APP发送信令处理量缓解通知;
步骤3:信令检测APP主动从网络控制器获取信令统计信息;
步骤4:信令检测APP根据获取的信令统计信息判断检测出来的恶意UE是否还在存储的恶意UE标识列表上(注:该列表在上述恶意UE检测方案中由信令检测APP存储),以判断该恶意UE是否还在进行占用核心网资源的攻击;
步骤5:如果信令检测APP发现恶意UE标识列表中的UE已经不再进行恶意信令发送行为了,那么信令检测APP向网络控制器下发正常转发该UE发送的报文的指令;
步骤6:网络控制器将该指令翻译成核心接入设备能够识别的流量转发规则下发给核心接入设备。根据网络控制器下发的转发规则,核心接入设备将正常转发接收到的来自该UE的报文;
步骤7:信令检测APP通知核心网网管已经完成UE限制解除。
场景七、核心网管触发的UE限制解除(2)
如图14所示,本方案的具体流程如下:
步骤1:网络控制器从核心接入设备(如核心接入交换机)获取信令统计信息。该信令统计信息内容同场景一中步骤1中提到的统计信息内容。同样地,该统计信息可以是核心接入设备周期性的主动上报给网络控制器,也可以是网络控制器主动向核心接入设备查询后,核心接入设备上报给网络控制器。
步骤2:由于核心网接入设备工作负荷达到门限的状态能够被核心网网管监测到(比如,核心网接入设备主动向核心网设备上报工作负荷满状态),而且核心网网管也能够接收来自网络控制器的恶意信令行为的通知(见前文主动检测方案和被动检测方案中的步骤6)。当核心网网管接收到来自网络控制器的恶意信令行为的通知后,在某段时间内监测到核心网接入设备一直处于正常工作状态,没有发生工作负荷满的状态,那么核心网网管就会向网络控制器发送信令处理量缓解通知;
步骤3:网络控制器主动向信令检测APP上报信令统计信息,并要求对其进行分析;
步骤4:信令检测APP根据获取的信令统计信息判断检测出来的恶意UE是否还在存储的恶意UE标识列表上(注:该列表在上述恶意UE检测方案中由信令检测APP存储),以判断该恶意UE是否还在进行占用核心网资源的攻击;
步骤5:如果信令检测APP发现恶意UE标识列表中的UE已经不再进行恶意信令发送行为了,那么信令检测APP向网络控制器下发正常转发该UE发送的报文的指令;
步骤6:网络控制器将该指令翻译成核心接入设备能够识别的流量转发规则下发给核心接入设备。根据网络控制器下发的转发规则,核心接入设备将正常转发接收到的来自该UE的报文;
步骤7:网络控制器通知核心网网管已经完成UE限制解除。
可见,本发明实施例可有效地防止恶意终端通过云化或非云化的无线接入网对核心网资源进行非法占用,保证核心网的资源能够有效提供给普通的终端用户。
另外,本发明实施例在确定恶意终端不再进行恶意信令发送行为时,恢复恶意终端的信令的转发,保证了被恶意非法占用的终端在恢复正常后,可以正常使用核心网的资源。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!